{"id":11083,"date":"2017-05-16T14:28:08","date_gmt":"2017-05-16T12:28:08","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=11083"},"modified":"2017-05-16T09:31:15","modified_gmt":"2017-05-16T07:31:15","slug":"wannacry-2-0-eternalblue-basierte-ransomware-wird-zur-normalitaet","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=11083","title":{"rendered":"WannaCry 2.0: EternalBlue-basierte Ransomware wird zur Normalit\u00e4t"},"content":{"rendered":"
\"\"<\/a>
Catalin Cosoi, Bitdefender: „WannaCry wird uns als eine der ernsthaftesten Bedrohungen in den kommenden 12 Monaten begleiten. Au\u00dfer: Microsoft entscheidet sich, etwas dagegen zu tun.“<\/figcaption><\/figure>\n

Autor\/Redakteur: Catalin Cosoi, Chief Security Strategist bei Bitdefender<\/a>\/gg<\/p>\n

Vor kurzem wurde eine neue Version der WannaCry Malware identifiziert. Die Hacker-Gruppe, die hinter dem Angriff steht, hat die urspr\u00fcngliche Malware gepatcht, indem sie wenige Bytes ge\u00e4nderte hat, um den \u201eKill Switch\u201c der die Verbreitung der initialen Welle unterbunden hat, zu beseitigen. Die Empfehlung an Firmen und Privatpersonen ist nach wie vor die gleiche: S\u00e4mtliche Rechner sollten schnellstm\u00f6glich auf den aktuellen Stand gebracht werden. Aber da nach wie vor eine steigende Zahl an Infektionen zu beobachten sind, ist es m\u00f6glicherweise Zeit, das B\u00f6se bei den Wurzeln zu packen.<\/p>\n

<\/p>\n

WannaCry 1.0 und 2.0 sind nur der Beginn von EternalBlue-basierten Bedrohungen. Wahrscheinlich wird es zun\u00e4chst einmal schlechter, bevor es dann wieder besser wird. WannaCry wird uns als eine der ernsthaftesten Bedrohungen in den kommenden zw\u00f6lf Monaten begleiten. Au\u00dfer: Microsoft entscheidet sich, etwas dagegen zu tun \u2013 wie zum Beispiel die Durchf\u00fchrung eines Updates zu erzwingen. Das wurde bereits in der Vergangenheit gemacht und die aktuelle Bedrohung w\u00fcrde es rechtfertigen, es wieder zu tun \u2013 auf kontrollierte und koordinierte Art und Weise und mit Unterst\u00fctzung von Beh\u00f6rden und der Security-Branche. Dies w\u00e4re rechtlich in einer Grauzone. Aber uns lehrt die Erfahrung, dass bei Cyberkriminalit\u00e4t die Gesetzgebung oftmals zu sp\u00e4t kommt. Daher ist es jetzt wichtiger als je zuvor, dass Strafverfolgungsbeh\u00f6rden und Security-Hersteller zusammenarbeiten.<\/p>\n

Computer in \u00f6ffentlichen Einrichtungen, Krankenh\u00e4usern und anderen Betreuungseinrichtungen werden in der Regel selten aktualisiert. Wenn sie nicht schon jetzt von Ransomware betroffen sind, so sind sie doch so lange f\u00fcr staatlich unterst\u00fctzte Angriffe offen, bis sie gepatcht werden. Ransomware ist im Grunde noch das freundlichste Szenario, da es f\u00fcr alle sehr sichtbar passiert. Aber man kann auch komplexe Bedrohungen auf Basis von EternalBlue aufbauen und so ausgestalten, dass sie auf Dauer unentdeckt bleiben und Organisationen \u00fcber einen langen Zeitraum infiltrieren.<\/p>\n

Im schlimmsten Fall nutzen staatliche Akteure die Schwachstelle daf\u00fcr aus, um Hintert\u00fcren in den \u00f6ffentlichen Einrichtungen anderer Regierungen zu installieren. Sie k\u00f6nnten sogar selbst Updates installieren, so dass niemand sonst die gleiche Schwachstelle ausn\u00fctzen kann. Dies ist ein wahrscheinliches und plausibles Szenario. Aktuell lenkt Ransomware die Betroffenen ab. So k\u00f6nnen komplexere Bedrohungen entwickelt und ausgef\u00fchrt werden, ohne dass dadurch die Alarmglocken angehen.<\/p>\n

Der WannaCry Wurm war eine der Bedrohungen der letzten Jahre, die sich am schnellsten verbreitet hat. Er verursachte am Wochenende an zahllosen Orten IT-Ausf\u00e4lle, infizierte Computer und Infrastrukturen weltweit und hinterlie\u00df auf infizierten Computern Ransomware. Der Wurm nutzt eine Windows-Schwachstelle aus, die angeblich die NSA verwendete und welche die Hacker-Gruppe Shadow Brokers online ver\u00f6ffentlicht hat.<\/p>\n

Bekannt als EternalBlue, wurde die Windows-Sicherheitsl\u00fccke von Microsoft in einem Patch geschlossen, den das Unternehmen am 14. M\u00e4rz als Teil des „Patch Tuesday“ zur Verf\u00fcgung stellte. Aber es scheint, dass nicht viele Organisationen diesen Patch tats\u00e4chlich in ihren Infrastrukturen implementiert haben. Infolgedessen war es nur eine Frage der Zeit, bis eine Gruppe von Cyberkriminellen die bekannt gewordene Verwundbarkeit als Waffe nutzen w\u00fcrde, um ungepatchte Windows-Systeme anzugreifen.<\/p>\n

WannaCry hat diese Anf\u00e4lligkeit seit vergangenen Freitag genutzt, um innerhalb weniger Stunden Hunderttausende von Computer weltweit zu infizieren und Ransomware zu platzieren. Die Malware springt von einem Computer zum anderen; sie ben\u00f6tigt keine Nutzerinteraktion, wie etwa den Klick auf infizierte Anh\u00e4nge oder b\u00f6sartigen URLs. Zwar hat ein Sicherheitsforscher es geschafft, die weitere Verbreitung vor\u00fcbergehend zu stoppen und die Infektion weiterer Opfer zu verhindern indem er einen Domainnamen registriert hat. Aber es war nur eine Frage der Zeit, bis eine neuere Version auftauchen w\u00fcrde, das diesen vor\u00fcbergehenden R\u00fcckschlag umgeht.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Catalin Cosoi, Chief Security Strategist bei Bitdefender\/gg Vor kurzem wurde eine neue Version der WannaCry Malware identifiziert. Die Hacker-Gruppe,<\/p>\n","protected":false},"author":1,"featured_media":11085,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[1881,37],"tags":[136,5451,9573,9572,1458,175,1862,9574,5432,6267,9571,344],"class_list":["post-11083","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-glosse","category-security","tag-bitdefender","tag-cyberkriminalitaet","tag-eternalblue","tag-kill-switch","tag-malware","tag-microsoft","tag-patch","tag-patch-tuesday","tag-ransomware","tag-verschlusselung","tag-wannacry","tag-windows"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11083","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11083"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11083\/revisions"}],"predecessor-version":[{"id":11086,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/11083\/revisions\/11086"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/11085"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11083"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11083"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11083"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}